Symbolbild: Insurance im redaktionellen Magazinkontext
03.04.2026

Assurance cyber pour les PME : ce qui est réellement couvert

8 min de lecture

178,6 milliards d’euros de dommages causés par la cybercriminalité en Allemagne en 2024. Pourtant, seulement 36 % des petites et moyennes entreprises disposent d’une assurance cyber. Cet écart ne s’explique pas par un désintérêt, mais par une incertitude : que couvre réellement une police ? Où s’appliquent les exclusions ? Et l’investissement en vaut-il la peine, alors que les primes augmentent chaque année ? Ce guide pratique montre ce qu’une police cyber pour les PME couvre réellement – et ce qu’elle ne couvre pas.

L’essentiel en bref

  • 178,6 milliards d’euros de dommages cyber en 2024 : La menace frappe disproportionnément les PME, qui disposent plus rarement de capacités de réponse aux incidents (Bitkom, 2024).
  • Seulement 36 % des PME assurées : Les grandes entreprises sont assurées à plus de 70 %, laissant le secteur moyen vulnérable (GDV, 2024).
  • Stabilisation des primes : Après des hausses allant jusqu’à 50 % (2021-2022), les tarifs baissent depuis 2024 de 5 % en moyenne. Les bons standards de sécurité sont récompensés (Marsh, 2024).
  • Attaques étatiques exclues : Depuis 2023, la plupart des assureurs exigent l’exclusion des attaques Nation-State, y compris en temps de paix (Lloyd’s of London).
  • MFA, EDR, plan IR obligatoires : Sans authentification multifacteur, détection des endpoints et plan d’urgence testé, les polices se font rares en 2026 (Coalition Claims Report, 2024).
36 %
des PME allemandes disposent d’une assurance cyber
Source : Gesamtverband der Deutschen Versicherungswirtschaft (GDV), 2024

Ce qu’une police cyber couvre réellement

Une assurance cyber n’offre pas une protection tous risques. C’est un instrument financier qui amortit des scénarios de dommages définis. Pour les dirigeants de PME, il est crucial de comprendre quels modules une police contient typiquement :

Dommages propres (First-Party) : Coûts d’expertise informatique après une attaque, restauration des données, pertes d’exploitation dues aux pannes système et gestion de crise incluant le conseil en relations publiques. En cas de ransomware, certaines polices couvrent également les paiements de rançon – mais avec des restrictions croissantes et souvent uniquement après autorisation de l’assureur.

Dommages aux tiers (Third-Party) : Réclamations en responsabilité de clients ou partenaires dont les données sont compromises. Les amendes RGPD sont couvertes dans de nombreuses polices, mais uniquement dans les pays où l’assurabilité des amendes est légalement autorisée. En Allemagne, la question fait débat.

Services : De nombreux assureurs proposent une hotline 24/7, un accès à des équipes spécialisées en réponse aux incidents et une première consultation juridique. Pour les PME sans département sécurité interne, c’est souvent la composante la plus précieuse de la police.

En pratique, les assureurs distinguent dommages propres et dommages aux tiers. Les premiers concernent l’entreprise elle-même : interruption d’activité, restauration des données, paiements d’extorsion. Les seconds surviennent lorsque clients ou partenaires subissent un préjudice, par exemple si des données personnelles fuient et déclenchent des réclamations RGPD. Toutes les polices ne couvrent pas les deux. Les dirigeants doivent vérifier explicitement l’inclusion des dommages aux tiers, car la responsabilité RGPD peut dépasser les dommages internes.

Où la protection s’arrête : les exclusions critiques

Connaître les clauses d’exclusion d’une police cyber est au moins aussi important que comprendre l’étendue de la couverture. Trois exclusions concernent particulièrement les PME :

Attaques étatiques : Depuis mars 2023, tous les grands assureurs exigent, sur initiative de Lloyd’s of London, l’exclusion des cyberattaques parrainées par des États. Cela peut sembler abstrait, mais concerne de plus en plus le secteur moyen : les frontières entre activité cybercriminelle et étatique s’estompent. Si une attaque ransomware est attribuée à un groupe agissant pour le compte d’un État, l’assureur peut refuser la prestation.

Événements systémiques : Une attaque coordonnée contre un grand fournisseur cloud, touchant des milliers d’entreprises simultanément, peut relever de la clause d’exclusion catastrophes. Les assureurs limitent leur exposition globale par des plafonds agrégés. En cas de sinistre, la police ne paie alors que proportionnellement.

Manquements aux obligations de diligence : Celui qui affirme dans sa demande utiliser la MFA sans le faire réellement risque un refus total en cas de sinistre. Selon Coalition, en 2024, 82 % des réclamations refusées avaient des mesures de sécurité manquantes comme cause concomitante.

« La gravité des sinistres a diminué de plus de 50 %, les grands dommages supérieurs à un million d’euros ont reculé d’environ 30 % – résultat d’investissements massifs des grandes entreprises dans la cybersécurité. »
D’après Allianz Commercial, Cyber Risk Trends 2025

Ce que le processus de demande exige du dirigeant

Le processus de souscription d’une police cyber ressemble en 2026 à un audit de sécurité informatique. Les assureurs n’évaluent plus seulement le chiffre d’affaires et le secteur, mais l’architecture de sécurité réelle. Trois mesures sont devenues des conditions d’entrée :

Authentification multifacteur : 95 % des assureurs exigent la MFA sur les e-mails, VPN, accès distants et comptes administrateurs. Non pas « disponible », mais « imposée et documentée ». Les méthodes résistantes au phishing comme FIDO2 sont de plus en plus attendues.

Endpoint Detection and Response : 89 % des assureurs exigent l’EDR sur tous les terminaux. L’installation seule ne suffit pas – les assureurs demandent : qui surveille ? À quelle vitesse réagit-on ? Le processus est-il documenté ?

Plan de réponse aux incidents testé : Un plan d’urgence écrit avec des rôles définis et des listes de contacts. Les assureurs vérifient quand le plan a été testé pour la dernière fois. Un plan dans un tiroir, jamais exercé, ne compte pas.

Pour les PME sans département sécurité informatique interne, cela signifie : les services de sécurité managés deviennent une condition préalable à l’assurabilité. Un service SOC externe (Security Operations Center) coûte entre 500 et 2 000 euros mensuels, mais fait la différence entre assurabilité et refus.

82 %
des réclamations refusées n’avaient pas mis en œuvre les mesures de sécurité promises
Source : Coalition, Cyber Claims Report 2024

Combien coûte une police cyber pour les PME

Les primes dépendent du secteur, du chiffre d’affaires, du nombre d’employés et du niveau de sécurité. Une évaluation réaliste pour le secteur moyen :

Petite entreprise (10-50 employés, jusqu’à 5 millions d’euros de CA) : 1 500 à 5 000 euros de prime annuelle pour une somme assurée de 500 000 à 1 million d’euros.

Entreprise de taille moyenne (50-250 employés, 5-50 millions d’euros de CA) : 5 000 à 25 000 euros de prime annuelle pour des sommes assurées de 1 à 5 millions d’euros.

Grande entreprise de taille moyenne (250+ employés, 50+ millions d’euros de CA) : 25 000 à 100 000 euros de prime annuelle, concepts de couverture individuels.

La bonne nouvelle : après des hausses de prix drastiques entre 2020 et 2022, le marché s’est détendu. La concurrence entre assureurs augmente, les conditions s’améliorent. Les entreprises avec des mesures de sécurité vérifiables paient nettement moins que celles sans.

Une comparaison via des plateformes comme CyberDirekt ou Finanzchef24 montre : pour une entreprise commerciale avec 5 millions d’euros de CA et 30 employés, les primes annuelles se situent entre 1 500 et 4 000 euros, selon la somme assurée choisie et la franchise. La franchise se situe typiquement entre 2 500 et 10 000 euros par sinistre. Une franchise plus basse augmente la prime de 20 à 40 %, mais réduit considérablement le risque financier en cas de sinistre.

Le calcul : la police en vaut-elle la peine ?

Un incident ransomware moyen coûte à une entreprise de taille moyenne entre 250 000 et 2 millions d’euros. Les postes : expertise informatique (30 000-80 000 euros), interruption d’activité (selon secteur et durée), conseil juridique (15 000-40 000 euros), communication de crise (10 000-30 000 euros) et éventuelles amendes RGPD.

Même avec une probabilité d’occurrence conservatrice de 5 % par an, le dommage attendu pour une entreprise de taille moyenne se situe entre 12 500 et 100 000 euros annuels. Avec des primes de 5 000 à 25 000 euros, l’assurance est économiquement judicieuse dans la plupart des scénarios.

S’ajoute la valeur des services : avoir une équipe de réponse aux incidents au téléphone en deux heures peut faire la différence entre un incident maîtrisé et une crise d’entreprise. Pour les PME sans équipe de sécurité interne, cela n’a pas de prix.

Selon le GDV (Fédération allemande des assurances), 28 % des petites et moyennes entreprises déclarent au moins un dommage cyber en trois ans. Avec un dommage moyen de 95 000 euros et une prime annuelle de 2 500 euros, la police est amortie après un seul incident sur 38 ans. La question n’est donc pas de savoir si, mais quand un incident se produira. Parier sur le fait de rester épargné, c’est prendre un risque qui, avec une probabilité d’occurrence de 28 %, n’est plus un risque calculé.

Checklist : cinq étapes vers une police cyber pour PME

1. Documenter le niveau de sécurité informatique. La MFA est-elle activée ? L’EDR est-il installé ? Stratégie de sauvegarde ? Gestion des correctifs ? Plus la documentation est bonne, meilleures sont les conditions. Les assureurs évaluent ce qui est vérifiable.

2. Calculer le besoin de couverture. Calculer les coûts d’interruption d’activité par jour. Déterminer le nombre de jeux de données personnelles (détermine le risque RGPD). Estimer le dommage maximal de manière réaliste.

3. Comprendre les exclusions. Lire les clauses sur les attaques étatiques, les événements systémiques et les obligations de diligence. Ce qui n’est pas couvert doit être assumé par l’entreprise elle-même.

4. Faire appel à un courtier spécialisé. Le marché de l’assurance cyber est complexe. Des courtiers comme Finlex, CyberDirekt ou Marsh connaissent les profils d’exigences des assureurs et négocient de meilleures conditions que l’achat direct.

5. Remplir la demande en toute honnêteté. Toute fausse déclaration dans la demande peut entraîner un refus de prestation en cas de sinistre. Mieux vaut cocher honnêtement « non » et mettre en place la mesure ultérieurement que de faire de fausses assurances.

Conclusion

Une assurance cyber ne remplace pas la sécurité informatique, mais elle la complète par une couche de protection financière qui peut être décisive pour la survie des PME. Les primes sont redevenues abordables après les années de pointe 2021-2022, mais les exigences en matière d’architecture de sécurité augmentent. Pour les dirigeants, la question n’est plus de savoir si, mais comment : quelle couverture correspond au profil de risque ? Quelles exclusions sont acceptables ? Et quelles mesures de sécurité rendent l’entreprise assurable ?

L’étape la plus importante n’est pas la conclusion du contrat, mais la préparation : documenter la sécurité informatique, comprendre les exigences de conformité et considérer la police comme un complément, et non comme un substitut aux mesures de protection techniques. Celui qui dispose des deux dort mieux.

Questions fréquentes

Une assurance cyber couvre-t-elle également les paiements de rançon en cas de ransomware ?

Certaines polices oui, mais avec des restrictions croissantes. De nombreux assureurs exigent une autorisation préalable, limitent le montant ou excluent les paiements de rançon dans certaines juridictions. En France, le remboursement est lié depuis 2023 à un dépôt de plainte dans les 72 heures.

Les amendes RGPD sont-elles assurables ?

En Allemagne, l’assurabilité des amendes est juridiquement controversée. De nombreuses polices couvrent nominalement les amendes RGPD, mais avec la mention « dans la mesure où cela est légalement autorisé ». Les frais de défense et les demandes d’indemnisation des personnes concernées sont en revanche clairement assurables.

Que se passe-t-il si je fais de fausses déclarations dans la demande ?

L’assureur peut réduire ou refuser complètement la prestation en cas de sinistre. Particulièrement critique : les assurances sur les mesures de sécurité mises en œuvre comme la MFA ou l’EDR. Si celles-ci sont constatées comme absentes lors d’un incident, la violation des obligations s’applique.

Une petite entreprise de moins de 20 employés a-t-elle besoin d’une assurance cyber ?

Justement, les petites entreprises sont particulièrement menacées car elles disposent rarement de capacités internes en matière de sécurité informatique. Les primes se situent entre 1 500 et 5 000 euros par an. La hotline d’urgence 24/7 et l’accès à des équipes de réponse aux incidents peuvent, à elles seules, sauver l’existence en cas d’urgence.

Comment trouver le bon assureur ?

Par l’intermédiaire d’un courtier spécialisé. Des prestataires comme CyberDirekt, Finlex ou Marsh comparent les polices de différents assureurs, connaissent les profils d’exigences et négocient de meilleures conditions. L’achat direct auprès du premier assureur venu conduit souvent à des polices coûteuses avec des exclusions défavorables.

Plus dans le réseau MBF Media

Source de l’image : Pexels / Sora Shimazaki

Aussi disponible en

Un magazine de evernine media GmbH
Le magazine des décideurs pour le Mittelstand DACH